实验一木马分析（隐藏分析）实验

实验一木马分析（隐藏分析）实验

1、木马隐藏技术

1）程序隐藏

木马程序可以利用程序捆绑的方式，将自己和正常的exe 文件进行捆绑。当双击运行捆绑后的程序时，正常的exe 文件运行了。程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以通过任务管理器中发现木马程序的踪迹，这就需要木马程序实现进程隐藏。

2）进程隐藏

隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程，从而提高木马程序的隐蔽性。主要有两种：

API拦截属于进程伪隐藏方式通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致任务管理器等工具无法显示该木马进程。

远程线程注入属于进程真隐藏方式 主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程内部数据和启动DLL 木马。

3）通信隐藏

可以从通信连接的状况中发现木马程序的踪迹。因此，很有必要实现木马程序的通信隐藏。主要有两种方式：

端口复用技术 它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接，从而防止重新开启端口降低隐蔽性。关键之处在于，木马程序应增设一个数据包转交判断模块，该模块控制主机对数据报的转交选择。

利用ICMP和HTTP 协议 通常网络防火墙和入侵检测系统等安全设备只检查ICMP报文的首部，对数据部分不做处理。因此，可以将木马程序的通信数据隐藏在ICMP 报文格式的选项数据字段进行传送，如把服务端程序向客户端程序传输的数据伪装成回显请求报文，而把客户端程序向服务端程序传输的数据伪装成回显应答报文。这样，就可以通过PING\PINGRESPONSE的方式在木马服务端程序和客户端程序之间建立起一个高效的秘密会话信道。利用ICMP 协议传输数据还有一个很大的优点，即ICMP
属于IP 层协议，它在传输数据时并不使用任何端口，从而具有更好的隐蔽性。

2、实验操作

1）虚拟机三种网络工作模式

    vmware为我们提供了三种网络工作模式，它们分别是：Bridged（桥接模式）、NAT（网络地址转换模式）、Host-Only（仅主机模式）。

   1、bridged(桥接模式):默认使用VMnet0，不提供DHCP服务

在桥接模式下，虚拟机和宿主计算机处于同等地位，虚拟机就像是一台真实主机一样存在于局域网中。因此在桥接模式下，我们就要像对待其他真实计算机一样为其配置IP、网关、子网掩码等等。当我们可以自由分配局域网IP时，使用桥接模式就可以虚拟出一台真实存在的主机。

2、NAT(网络地址转换模式):默认使用VMnet8，提供DHCP服务

在NAT模式下，宿主计算机相当于一台开启了DHCP功能的路由器，而虚拟机则是内网中的一台真实主机，通过路由器(宿主计算机)DHCP动态获得网络参数。因此在NAT模式下，虚拟机可以访问外部网络，反之则不行，因为虚拟机属于内网。使用NAT模式的方便之处在于，我们不需要做任何网络设置，只要宿主计算机可以连接到外部网络，虚拟机也可以。NAT模式通常也是大学校园网Vmware最普遍采用的连接模式，因为我们一般只能拥有一个外部IP。很显然，在这种情况下，非常适合使用NAT模式。

3、Host-only(主机模式):默认使用VMnet1，提供DHCP服务

在Host-only模式下，相当于虚拟机通过双绞线和宿主计算机直连，而宿主计算机不提供任何路由服务。因此在Host-only模式下，虚拟机可以和宿主计算机互相访问，但是虚拟机无法访问外部网络。当你想组成一个与物理网络相隔离的虚拟网络时，无疑非常适合使用Host-only模式。

2）利用木马的控制端生成植入虚拟机中的服务端

3）使靶机中植入木马，接受控制端的控制

这里可以通过多种方式，将其与其他软件捆绑、伪装成其他软件等。



4）在靶机中分析木马是如何隐藏起来的

通过主机向虚拟机中植入木马程序后，虚拟机成为客户端，而主机成为了控制端，在虚拟机中我们通过任务管理器并没有发现木马程序的进程，而是发现了两项“可疑进程”，这是木马隐藏原理中介绍的第一种隐藏方法“API”拦截伪隐藏方式。

结果分析：判断这两个可疑的进程“IEXPLORE.EXE”和“mstsc.exe”与木马程序有关。所谓可疑是基于这个原因：因为实际上我们并没有启动IE浏览器和远程控制程序，而且这两个进程的父进程并不是explore.exe。表明这两个进程并不是系统的正常服务。

 




我的正常电脑里面的就没有exploxer与mstsc这两个进程